如何通過ISO 27001主導稽核員考試？網上少見的海量分享文你一定不能錯過(2024.08)

為因應不斷升級進化的資安威脅，今年7月行政院會通過「資通安全管理法」修正草案，其中就包含，依據特定非公務機關資通安全維護計畫實施情形稽核辦法，增訂特定非公務機關應置資通安全長及應符合資通安全責任等級之要求設置專職人員。

資安專職人力職能，依其業務職掌分為策略面、管理面及技術面3個面向之應備能力

策略面包括具資安策略規劃、業務審查、資源協調、績效管考等能力

管理面包括資安機制規劃、管理維運、風險評估、維運管理、業務稽核等能力

技術面包括網路管理、事件處理、資安檢測、軟體/系統管理、情資分析等能力

今天我們來談談資安專職人力職能的管理面。
難道只有資安稽核員才需要學稽核 ? 資訊安全管理系統主導稽核員都在做什麼？

本文，集結新版ISO 27001 : 2022上路後，我們系統式整理各行業相關經驗人士不私藏分享，以及他們在執行ISO 27001管理後發揮了什麼優勢，網路上少見的海量親身經歷分享文，這對想提升自我職場競爭力的你，一定不能錯過 !

一、稽核準則?

依據資通安全管理法及其子法、國家資通安全發展方案(110年至113 年)、資訊安全管理系統國家標準 CNS 27001:2014、CNS 27001:2023 或資訊安全管理系統國際標準 ISO 27001:2013、ISO 27001:2022、服務管理系統國際標準 ISO 20000-1:2018、資通安全維護計畫、其他內部控制及資安相關規定。

 

二、成為專案稽核人員的工作經驗要求?

☑至少 4 年以上，全職工作經驗

☑至少 2 年以上，資訊安全 (information security) 、個人資料 (PII protection) 與隱私保護 (privacy protection) 相關專業工作經驗

 

三、學習經驗

☑有效的 (5 年內)，CQI/IRCA 認證稽核員/主導稽核員課程通過證書

☑其他標準的稽核員/主導稽核員轉換課程 (conversion course)

 

四、ISO主導稽核員好考嗎？(專業人士不私藏分享)

公部門職員/毓盈：「老實說通過考試並非那麼容易！考試是有筆試的，所以每天回家要花時間去練習，想辦法去理解熟悉條文。」

網路系統工程師/張簡宏祥：「認真說真的非常的不好考，必須要很努力的弄清楚條文如何實際搭配在你的應用上，才能比較有系統的將考卷寫好，時間絕對是不夠用，所以不能花太多時間在思考上。」

金融業資深稽核員/賴篁穗：「考試是另一個大考驗，全部以問答題的方式考試，在有限時間的壓力下，加以熟練度仍顯不足，在答題的技巧也較為生疏，是相當大的挑戰。考完其實沒有太大把握，但收到通過測驗得通知時，讓我喜出望外。」

資訊工程師/陳昇佑：「這個認證，說難不難，因為考試時，每個同學都有標準可以翻來參照。但是，如果有心想過關，你要能找到該試題必須引用的標準。 但別以為open book就能放心了，因為光會背標準，也是沒辦法過關。這個認證，難就難在考題非常靈活，你要會活用，才能過關。」

 

五、如何通過ISO主導稽核員考試？(專業人士不私藏分享)

財務稽核員/葉雲雲：「雖然平常對稽核實務很了解，但要寫出符合標準的wording確實需要準備。我建議要熟悉本文的標準和附錄A 架構，考試不是要我們背內容，而是能將標準運用到實務上。所以我每天回家都會整理一下今天上課的重點，這樣考試就不用緊張，也可以有效掌握時間。」

 

資訊業MIS/莊亦庭：「我個人真的要給還沒來上課的同學們一點小建議，真的不用上網找考古題，這不是過去有選擇題的時代，我在前文提到我那已考過的同事，他就是那時代下的幸運者，所以他覺得這堂課考試很簡單，但現在的考題題型為名詞解析加上舉例，或者是一大題中有很多小題，得逐一回答，並提出相對應的條文，最後一大題為情境題，這些真的不容易，所以只要平時老師上課時，不斷強調「這很重要，考試可能會考！」就無論如何都要記下來，但考題絕對不是這樣簡單，而是你要能了解貫徹，如老師說的，他不是要考你背誦能力，而是要你透徹了解加以運用。

 最後我還想特別分享，雖說這門課不是非常困難，因老師說得很清楚明白，但是我記憶差，會一直忘記重複迴圈問老師，感謝老師有耐心啊！平常的隨堂作業務必跟小組同學討論，回家作業要寫，不懂的部分務必再請教老師，回家複習老師上課講解的部分，這樣考試才不會慌亂，也能達到這門課的精隨學以致用，再次感謝老師！。」

 

資訊工程師/陳昇佑：「當初，自己以為這堂用中文考試，想必可以輕鬆的過。結果才第一堂，就發現自己錯了，燒腦到自己後悔下大夜就上課。 但好險沒因為這樣放棄，先感謝這次課程的老師，憑藉著強大深厚的技術基底，和豐富的業界實務經驗，引導同學有稽核員該要有的邏輯。

課程進行中，一定要知道這些專有名詞的意思，分組也一定要討論演練，課後一定要完成每天的作業練習，還有老師要求的模擬考卷練習，這些都是有助於了解標準，還有標準的運用。基本作業有認真做，模擬考卷有自己去寫去想過，流程圖自己有畫過、整理過，應該是很有機會通過認證。」

 

六、考取主導稽核員證照的好處？(零相關背景人士分享)

資訊業/佳慧：「我並非資訊科系畢業，但因本身在資訊服務公司工作，公司的業務主要來自政府機關的標案，而現在許多稽核都是需要有這張ISO 27001的證照，加上每次因機關有外稽來我們公司實地稽核，為了更了解稽核會做的事情有什麼。

從學習中也才發現原來稽核這個工作不是份簡單的事，尤其我們在做資訊相關的工作，資訊安全日益重要，平時就要做好防護跟紀錄，遇到風險威脅就要做改善，才能讓公司營運健全，也能讓客戶安心。」

 

公部門職員/張美霞：「我是第一次上資訊安全管理系統的課程，因非本科出身，對課程的吸收及理解在課前會有所擔心。

此課程雖然是專用於ISO 27001：2022資訊安全管理系統之稽核，但稽核概念可舉一反三至其他業務，上完課後對公司內部稽工作確實有不少幫助。公司的內部稽核相對外部稽核或認證稽核相對簡單，過程也不是那麼嚴謹，但仔細相互對照，重點都是有包含到，因此，內部稽核協助發現公司業務可改善之處，但內部稽核和外部稽核所著重之稽核重點及內容未必完全一致，因此，還是需要外部稽核。」

 

資訊系統人員/魏永約：「我本身是在普通高中畢業，為了能夠擁有資訊相關的基本技能以及知識接受訓練。課程中老師將學員分為幾組，給我們時間去認識彼此，我覺得這是對於主導稽核員非常重要的一個教學方式，因為在業界，這樣的稽核工作，通常都是以Team為單位。上完課後，我學到了ISO27001的精神所在，最重要的就是在公司的資產盤點，要先找出那些設備會有資訊安全的風險，才能夠制定出相對應的政策。」

 

資訊軟體顧問/沈宗男：「課程中實作的案例讓我們更好地理解了ISO 27001的標準和稽核實務操作中的應用。 其中，大家都有效地學習到如何實施和管理一個符合ISO 27001標準的資訊安全管理系統。這包括了如何進行風險評估，如何制定適當的風險治理策略，以及如何確保組織的資訊安全政策和程序符合ISO 27001的要求，當然除了上課外，令我最為印象深刻的是ISO/IEC 27001第6章，關於風險評估，對於資產識別，評估與分析到風險處理，有了完備的觀念，這對日後我在實務上的運用非常重要。」

 

資訊業MIS/莊亦庭：「因為我們幾乎都不是稽核人員，對於實務面上還是有限，所以我認為IT相關工作者都應該來接受接此訓練。例如 : 上完這課程肯定就能讓企業導入ISO27001嗎 ? 正確答案應該是 : 導入是需要確切的執行四階文件，並後續維運及隨著時間及狀態做應對變更及記錄。因此我們也能於時間內做出答案，所以後來就不緊張了。

訓練過程會特別強調了資安意識，這樣才能讓企業組織內的資安控制措施不會被忽略，避免企業資料外洩、觸發個資法、甚至B2C平台的客人財務信用卡資訊被盜等。因此除了企業要導入ISO27001之外，企業人相關人員更應該來上ISO/IEC 27001 : 2022主導稽核員課程，進而保護企業組織於更安全的管控中。」

📕想看更多精采案例分享>>>>>請點我

 

建議課程推薦

🔰此課程為恆逸「數位發展部資通安全署」認可之資通安全專業證照
✅ISO 27001：2022資訊安全管理系統主導稽核員訓練課程(40小時)

🔰已經有舊版LA認證請參考下面【轉版】課程

ISO 27001：2022主導稽核員轉版訓練課程(16小時)

ISO/IEC 27001:2022 (ISMS, 資訊安全管理系統)稽核員/主導稽核員轉版訓練課程(16小時)

🔰從沒接觸過LA課程也可以直接參加下列課程：
ISO 27001：2022資訊安全管理系統核心概念與條文要點解析訓練課程(16小時)
ISO 27001：2022資訊安全管理系統風險評鑑課程(16小時)